Cisco路由器作为使用SDM的远程VPN服务器配置

示例目录简介先决条件要求使用的组件规则配置网络图配置过程验证相关信息简介本文档介绍如何使用CiscoSecurityDeviceManager(SDM)来配置Cisco路由器,以使其充当EasyVPN服务器.
通过CiscoSDM,您可以使用基于Web的简单易用管理界面将路由器配置为适用于CiscoVPN客户端的VPN服务器.
完成Cisco路由器配置后,可以使用CiscoVPN客户端对其进行验证.
先决条件要求本文档假设Cisco路由器处于完全运行状态,并配置为允许使用CiscoSDM进行配置更改.
注意:为了允许使用SDM配置路由器,请参阅允许SDM进行HTTPS访问.
使用的组件本文档中的信息基于以下软件和硬件版本:配备CiscoIOS软件版本12.
3(14T)的Cisco3640路由器qSecurityDeviceManager2.
31版qCiscoVPN客户端4.
8版q本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.
规则有关文档规则的详细信息,请参阅Cisco技术提示规则.
配置在本部分中,您将了解有关配置EasyVPN服务器功能的信息,该功能允许远程终端用户使用IPsec与任何CiscoIOS网关通信.
注意:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息.
网络图本文档使用以下网络设置:配置过程要使用SDM将Cisco路由器配置为远程VPN服务器,请完成以下步骤:在主窗口中选择Configure>VPN>EasyVPNServer,然后单击LaunchEasyVPNServerWizard.
1.
开始配置EasyVPN服务器之前,必须先在路由器上启用AAA.
单击Yes继续配置.
窗口中将显示"AAAhasbeensuccessfullyenabledontherouter"消息.
单击OK启动EasyVPN服务器配置.
2.
单击Next启动EasyVPNServerWizard.
3.
选择客户连接终端所在的接口和认证类型.
4.
单击Nextto配置Internet密钥交换(IKE)策略,再用Add按钮创建新策略.
隧道两端的配置必须完全一致.
但CiscoVPN客户端会自动为自己选择正确的配置.
因此,无需在客户端PC上执行IKE配置.
5.
单击Nextto选择默认转换集或添加新转换集,以指定加密和认证算法.
这种情况下,使用默认转换集.
6.
单击Nextto为组策略查找创建新的认证、授权和记帐(AAA)授权网络方法列表,或选择用于组授权的现有网络方法列表.
7.
在EasyVPN服务器上配置用户认证.
可在外部服务器(如RADIUS服务器)和/或本地数据库中存储用户认证详细信息.
AAA登录验证方法列表被使用,用于决定搜索用户验证详细信息的顺序.
8.
在此窗口中,您可以对本地数据库中的用户组策略执行添加、编辑、复制或删除操作.
9.
为"TunnelGroupName"输入名称.
提供适用于认证信息的预先共享密钥.
创建新池或选择一个现有池,用于将IP地址分配到VPN客户端.
10.
此窗口显示您已执行操作的汇总.
如果对配置感到满意,请单击Finish.
11.
SDM将配置信息发送到路由器,以更新运行配置.
单击OK完成操作.
12.
完成操作后,可以在需要时编辑和修改配置方面的变化.
13.
验证尝试使用CiscoVPN客户端连接到Cisco路由器,以验证是否已成功配置Cisco路由器.
选择ConnectionEntries>New.
1.
填写新连接的详细信息.
Host字段应包含EasyVPN服务器(Cisco路由器)隧道端点的IP2.
地址或主机名.
组认证信息应与步骤9中使用的组认证信息对应.
完成后单击Save.
选择新创建的连接,然后单击Connect.
3.
输入扩展认证(Xauth)的用户名和口令.
此信息取决于步骤7中的Xauth参数.
4.
成功建立连接后,从"Status"菜单中选择Statistics以验证隧道的详细信息.
此窗口显示数据流和加密信息:若对此窗口进行了配置,则将显示分割隧道信息:5.
选择Log>LogSettings,在CiscoVPN客户端中启用日志级别.
6.
选择Log>LogWindows查看CiscoVPN客户端中的日志项.
7.
相关信息下载并安装CiscoRouterandSecurityDeviceManagerqCiscoVPN客户端支持页qIPsec协商/IKE协议q技术支持和文档-CiscoSystemsq